• A
  • A
  • A
  • АБВ
  • АБВ
  • АБВ
  • А
  • А
  • А
  • А
  • А
Обычная версия сайта
21
Октябрь

Семинар с поддержкой компании Solar Security на тему "SIEM-системы как инструмент контроля состояния информационной безопасности"

Семинар для студентов первого и второго курсов магистерской программы «Управление информационной безопасностью»  состоялся 16 апреля 2016 года. В ходе освещения темы "Централизованный мониторинг и анализ данных средств и систем защиты информации", предусмотренной курсом "Типовые решения и подсистемы обеспечения информационной безопасности", был проведен семинар с участием представителей компании Solar Security Эльмана Бейбутова, руководителя направления аутсорсинга ИБ, и старшего аналитика Solar JSOC.

В условиях расширения парка применяемых в организации технических и программных средств защиты информации, спустя определенное время, встает вопрос трудоемкости обработки получаемых от них событий ИБ. Для автоматизации сбора, хранения и проведения предварительного анализа таких данных существуют специализированные системы централизованного управления событиями и информацией о состоянии информационной безопасности (SIEM - security information and event management).

В профессиональной деятельности менеджеру или специалисту по информационной безопасности приходится сталкиваться с такими системами в результате повышения организацией уровня осознания необходимости внедрения инфраструктурных систем информационной безопасности (ИБ) – это случай "эволюции" ИБ организации. Возможна ситуация, при которой специалист приходит в организацию, уже эксплуатирующую подобные системы. В обоих случаях времени, чтобы разобраться в нюансах работы SIEM-системы и особенностях решений различных производителей, обычно бывает крайне мало. В рамках занятий по теме централизованного мониторинга состояния ИБ мы ставим своей задачей познакомить слушателей с системами этого класса, объяснив от общего к частному условия, принципы, особенности и трудности, возникающие в процессе их внедрения и эксплуатации.

В связи с тем, что качественное выполнение функций, таких как корреляция событий ИБ, фильтрация ложных инцидентов и постоянный анализ новых векторов атак, реализуемых с помощью SIEM-систем требует высокой квалификации администраторов и аналитиков, эта часть задач обеспечения ИБ часто передается на аутсорсинг. Поэтому актуальную и интересную тему использования внешнего коммерческого центра мониторинга и реагирования на инциденты ИБ, также было решено осветить на занятии.

На однодневный семинар 16 апреля, запланированный в рамках курса "Типовые решения и подсистемы обеспечения информационной безопасности" и продолжившийся в течение почти шести часов, были приглашены специалисты первого российского коммерческого центра мониторинга и реагирования на инциденты ИБ Solar JSOC: Эльман Бейбутов, руководитель направления аутсорсинга ИБ, и старший аналитик Solar JSOC.

Solar Security является активным партнером кафедры Информационной безопасности, специалисты компании не первый раз читают лекции в рамках наших обучающих курсов.

Выступление Эльмана Бейбутова «От SIEM к SOC» было посвящено качественному переходу от применения SIEM только как инструмента мониторинга и хранения записей о событиях ИБ к созданию в организации полноценного ситуационного центра управления ИБ – SOC (Security Operations Center). Полно и, что особенно ценно, непредвзято, были обсуждены все современные наиболее востребованные SIEM-решения. Эльману удалось сделать плавный и логичный переход от описания задач, архитектуры и нормативной основы применения SIEM-систем к возможностям по расширению их функций и получению от них максимальной отдачи. Выявление инцидента ИБ – это только первый шаг, не менее важно его корректно и полно обработать в строгом соответствии с политикой ИБ и вот как раз здесь, зачастую, и начинаются трудности. Как осуществить этот качественный переход, где заканчивается обеспечение и начинается управление ИБ? Какими компетенциями должна обладать служба ИБ, чтобы говорить о возможном эффективном внедрении и эксплуатации SIEM-системы как центрального звена передачи информации в SOC? Как определить, "доросла" организация до самостоятельного управления инфраструктурой ИБ или ей проще (и дешевле) воспользоваться услугами по аутсорсингу SOC? Эльман не просто дал ответы, но и проиллюстрировал их наглядными и любопытными примерами из многолетней профессиональной практики.

Возникла дискуссия о рисках, неизбежно появляющихся при передаче такого чувствительного компонента как мониторинг ИБ во внешнее управление. Коллеги из Solar Security рассказали о практике заключения соответствующих соглашений (SLA), предусматривающих определенный уровень оказания сервиса, и путях достижения понимания с заказчиками. Обсуждались также темы конкуренции в мире (SOC от Solar Security является первым и пока единственным в своем роде в нашей стране) и развитости рынка аутсорсинга услуг мониторинга ИБ за рубежом.

Далее слово было предоставлено старшему аналитику Solar JSOC, он рассказал о том, как проходит внедрение SIEM-систем на примере продукта HP ArcSight. ArcSight – один из мировых лидеров среди SIEM-решений и хороший пример для рассмотрения типового проекта по интеграции SIEM в ландшафт ИБ организации. Дмитрий отдельно остановился на средствах и методах сбора информации из источников о событиях ИБ (именно об этом студентам захотелось узнать более подробно, поэтому они задали ряд дополнительных вопросов, как конкретно происходит выгрузка данных и ввод их в SIEM-систему). Отвечая на эти вопросы, он рассказал о специализированных программах-коннекторах, которые служат "мостиком" для взаимодействия между источником данных и ядром SIEM-системы. Возможности анализа и построения правил разбора поступающих данных также не остались без внимания. Напоследок, в форме дискуссии, обсудили варианты реального применения (use cases) SIEM для нужд ИБ.

Преподаватель курса Баранов Петр Александрович высоко оценивает результаты семинара: "В целом за этот день слушателям предоставлено большое количество актуальной и детальной информации о том, как сейчас производится работа с данными о состоянии ИБ в современных компаниях. Понимание роли инфраструктурных систем и сервисов ИБ в организации - важный шаг на пути становления специалистов ИБ, которыми мы видим наших будущих выпускников."

 

Solar Security – российский разработчик продуктов и сервисов для целевого мониторинга и управления информационной безопасностью, предоставляющий услуги аутсорсинга информационной безопасности в рамках первого в России коммерческого центра мониторинга, выявления и реагирования на инциденты информационной безопасности (ИБ) Solar JSOC. В продуктовый портфель Solar Security входит первое российское DLP-решение Solar Dozor, внедренное и широко используемое в бизнесе и организациях государственного сектора.

 

Руководство магистерской программы "Управление информационной безопасностью" и кафедры Информационной безопасности Школы бизнес-информатики благодарит за поддержание партнерского контакта и помощь в организации семинара компанию Solar Security.